Поделиться через

Создание настраиваемых правил сбора данных и управление ими в Microsoft Defender для конечной точки (предварительная версия)

  • Применяется к: Microsoft Defender for Endpoint

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Пользовательский сбор данных (предварительная версия) позволяет организациям расширять и настраивать сбор данных телеметрии за пределами конфигураций по умолчанию для поддержки специализированных потребностей в поиске угроз и мониторинге безопасности.

Пользовательские правила сбора данных позволяют определять определенные события и анализировать данные для повышения видимости безопасности и операций охоты на угрозы. Пользовательские правила сбора данных основаны на специализированных фильтрах для свойств событий, таких как пути к папкам, имена процессов и сетевые подключения.

В этой статье показано, как создавать настраиваемые правила сбора данных и управлять ими на портале Microsoft Defender.

Создание пользовательских правил сбора данных

Предварительные условия

Чтобы использовать пользовательский сбор данных, проверка, что у вас есть следующие предварительные требования:

  • Лицензия Microsoft Defender для конечной точки P2.
  • Подключенная рабочая область Microsoft Sentinel: требуется для хранения пользовательских данных и запросов. В настоящее время для настраиваемого сбора данных для каждого клиента Defender для конечной точки можно подключить только одну рабочую область Sentinel.

    Примечание.

    Даже если у вас есть подключенная Microsoft Sentinel рабочей области, при создании настраиваемого правила сбора данных все равно необходимо выбрать рабочую область. Дополнительные сведения см. в разделе Создание правил.

  • Динамические теги, настроенные в управлении правилами активов для нацеливания на устройства. Чтобы использовать тег для настраиваемого сбора данных, его следует запустить по крайней мере один раз.

Поддерживаемые операционные системы

Производительность и ограничения

  • Каждое правило сбора может записывать до 25 000 событий на устройство в течение 24-часового последовательного окна. Когда устройство достигнет предела, телеметрия для конкретного правила на конкретном устройстве останавливается до тех пор, пока окно не сброшено.
    • Если устройство достигает порогового значения в начале цикла, для возобновления телеметрии может потребоваться до 24 часов. Например, если устройство достигает ограничения через час после сброса окна, телеметрия возобновляется через 23 часа.
    • Если устройство достигает порогового значения в конце окна, задержка будет короче. Например, если устройство достигает ограничения за два часа до сброса окна, телеметрия возобновляется через два часа.
  • Развертывание правил обычно занимает от 20 минут до одного часа.
  • Пользовательская коллекция работает вместе с конфигурацией Defender для конечной точки по умолчанию без помех.

Затраты на данные

Пользовательский сбор данных входит в Microsoft Defender для конечной точки лицензирование P2. Однако за прием данных в Microsoft Sentinel рабочие области взимается плата в зависимости от Sentinel выставления счетов.

Создание правил

  1. На портале Microsoft Defender перейдите в раздел Параметры>Правила конечных> точекНастраиваемый>сбор данных.

  2. Чтобы подключить рабочую область Microsoft Sentinel, в правом верхнем углу выберите имя рабочей области Microsoft Sentinel.

    Снимок экрана: выбор рабочей области Microsoft Sentinel.

  3. На странице Область рабочей области выберите свою рабочую область.

    Снимок экрана: выбор область рабочей области Microsoft Sentinel.

    Примечание.

    На этом этапе необходимо выбрать рабочую область, даже если у вас уже есть подключенная Microsoft Sentinel рабочей области.

  4. Выберите Создать правило. В разделе Общие сведения введите имя и описание правила, а затем нажмите кнопку Далее.

    Снимок экрана: страница

  5. В разделе Создание правила выполните следующие действия.

    1. Выберите таблицу, из которой требуется собрать данные. Дополнительные сведения см. в разделе Поддерживаемые таблицы событий.
    2. Выберите действие, для которого требуется собрать данные.
    3. Добавьте условия правила, чтобы еще больше отфильтровать данные. Для уточнения сбора данных можно добавить несколько условий. Условия правила основаны на выбранной таблице. Дополнительные сведения см. по соответствующей ссылке на таблицу в разделе Поддерживаемые таблицы событий.

    Снимок экрана: страница создания правила.

  6. Нажмите кнопку Далее.

  7. В разделе Определение правила область выберите, нужно ли собирать данные со всех применимых клиентских устройств или с определенных устройств, которые содержат динамические теги. Дополнительные сведения см. в разделе Создание динамических правил для устройств в управлении правилами ресурсов.

    Снимок экрана: создание правила: определение страницы область.

    Примечание.

    Пользовательский сбор данных поддерживает только динамические теги.

  8. В разделе Проверка и завершение проверьте параметры правил и нажмите кнопку Отправить.

    Снимок экрана: создание правила: страница проверки и завершения.

Развертывание правила на целевых устройствах может занять до часа.

Управление и устранение неполадок

Если правила не работают должным образом:

  • Создайте широкое правило для сбора событий в непредвиденном варианте использования. Например, создайте правило, которое собирает все сетевые события, где .port not equals 0
  • Примените отдельные фильтры и теги, чтобы изолировать проблемы.
  • Если устройство не отвечает после включения функции, перезагрузите устройство.

Ознакомьтесь со следующими рекомендациями при мониторинге и устранении неполадок с пользовательскими правилами сбора данных:

  • Исключения обнаружения и ответа конечных точек (EDR) могут переопределять настраиваемые правила сбора.
  • Динамические теги обновляются примерно каждый час. Проверьте состояние в столбце Настраиваемая коллекция>Последнее время выполнения .

Изменение, удаление, включение или отключение настраиваемых правил сбора данных

  • Чтобы изменить правило, перейдите в раздел Параметры>Правила конечных>точекНастраиваемая> коллекция, выберите правило, которое нужно изменить, и нажмите кнопку Изменить.
  • Чтобы отключить или включить правило, выберите правило, которое нужно изменить, а затем выберите или снимите флажок Включить проверка под описанием правила. При отключении правила сбор данных для этого правила останавливается на всех целевых устройствах.
  • Чтобы удалить правило, выберите правило, которое нужно удалить, и нажмите кнопку Удалить. При удалении правила правило окончательно удаляется из системы.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

  • Last updated on